文档安全管理系统中身份认证与访问控制技术研究

摘要

目前基于网络攻击的信息安全存储技术己发展得比较成熟，如防火墙技术、入侵检测技术等，而基于内网的信息安全存储技术的发展还远远达不到企业信息安全的需求。由于企业员工更加容易获取内部机密信息，他们往往利用工作之便，随便上传下载和发送内部网络中的文件，对数据进行任意操作。这样使得企业内部信息很容易流动到外部，从而导致机密信息的泄漏和数字资产的流失。因此，企业不仅需要防范黑客对内部信息资源的访问，而且需要对内部员工访问信息资源加以控制。为企业制定安全有效的资源管理机制和访问控制机制成为一项重要的研究课题。 针对内网信息安全的现状和目前文档管理的缺陷，本文设计了一个文档安全管理系统。身份认证与访问控制都是基本的安全服务，它们之间关系密切，同时身份认证和访问控制技术的实施是实现该系统的关键，本文主要对身份认证和访问控制技术进行了研究并对其存在的不足进行了如下改进： 1.在身份认证方面，分析研究了目前几种典型的认证协议，充分利用Kerberos认证协议的优点，向Kerberos中引入了角色标识，去掉了票据许可票据，对Kerberos认证协议进行了改进。 2.在访问控制技术方面，对基于角色的访问控制(RBAC)技术进行了研究与分析，将部门架构、用户组引入到RBAC模型中来，简化了角色的组织和管理，提出了改进的RBAC模型。改进的RBAC模型不但支持对角色授权，而且支持对用户和用户组授权，使得模型授权方式更加灵活。 3.课题将改进的Kerberos认证协议和RBAC模型有机地结合起来设计了认证服务系统。认证服务系统对用户身份进行认证、管理维护RBAC中用户、角色、用户组、以及资源的访问权限等信息。为保证认证服务系统安全、高效、稳定地工作，采用了IOCP技术和内存池技术来增强系统的并发处理能力和负载能力。

目录

文摘

英文文摘

声明

1.引言

1.1文档管理意义

1.2文档安全管理系统构成与原理

1.2.1系统构成

1.2.2系统运行环境

1.2.3系统工作原理

1.3身份认证与访问控制国内外研究现状

1.3.1身份认证国内外研究现状

1.3.2访问控制国内外研究现状

1.3.3身份认证与访问控制的关系

1.4现有身份认证与访问控制技术存在的问题

1.4.1现有身份认证存在的问题

1.4.2现有访问控制存在的问题

1.4.3目前内网安全隐患

1.5课题研究目标和主要研究内容

1.6论文组织

2.身份认证协议设计

2.1身份认证协议概述

2.1.1认证协议概念

2.1.2认证协议应满足的安全要求

2.1.3认证协议分析方法

2.1.4认证协议设计原则

2.2 CHAP协议

2.2.1 CHAP协议流程

2.2.2 CHAP协议安全性分析

2.3 X.509认证协议

2.3.1符号说明

2.3.2协议流程

2.3.3安全性分析

2.4 Kerberos协议

2.4.1应用背景

2.4.2符号说明

2.4.3协议流程

2.4.4安全性分析

2.3改进的Kerberos协议

2.3.1协议需求分析

2.3.2符号说明

2.3.3协议流程

2.3.4安全性分析

2.4本章小结

3.访问控制技术

3.1访问控制理论基础

3.1.1自主访问控制技术

3.1.2强制访问控制技术

3.2基于角色的访问控制技术

3.2.1 RBAC基本模型——RBAC96

3.2.2 RBAC基本模型——ARBAC97

3.3角色与权限关系

3.4访问控制技术的发展前景

3.5 RBAC技术存在的问题

3.6改进的RBAC模型

3.6.1部门组织架构的作用

3.6.2用户组和角色的关系

3.6.3用户和角色关系

3.7本章小结

4.身份认证与RBAC技术实现

4.1认证服务系统架构

4.2用户登录认证模块与票据/密钥发放模块

4.3用户信息管理模块

4.4角色组织管理模块

4.4.1角色组织

4.4.2用户-角色指派与用户-角色撤消

4.4.3角色策略配置

4.5底层通信模块

4.5.1IOCP模型概念

4.5.2IOCP技术实现

4.5.3内存池技术实现

4.6本章小结

5.论文总结与工作展望

5.1全文总结

5.2进一步工作与展望

参考文献

致谢

攻读硕士学位期间参与科研项目